In dit artikel

Dit artikel is voor de huidige versie van de algemene beschikbaarheid van de Azure Information Protection-scanner.This article is for the current general availability version of the Azure Information Protection scanner.

U kunt de scanner in de detectiemodus voor alleen uitvoeren, waarbij u de rapporten gebruiken om te controleren wat er zou gebeuren als de bestanden zijn gelabeld.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled.Of u de scanner zodat de labels automatisch worden toegepast kunt uitvoeren.Or, you can run the scanner to automatically apply the labels.U kunt ook de scanner voor het detecteren van bestanden met gevoelige-informatietypen, zonder labels voor de voorwaarden die van toepassing automatische classificatie zijn configureren uitvoeren.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Houd er rekening mee dat de scanner niet detecteren en in realtime te labelen.Note that the scanner does not discover and label in real time.Het systematisch verkent door middel van bestanden in de gegevensarchieven die u opgeeft en u kunt configureren dat deze cyclus eenmaal of meerdere malen uit te voeren.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Voordat u de Azure Information Protection-scanner installeert, zorg ervoor dat de volgende vereisten voldaan is.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

Deze computer mag een fysieke of virtuele computer waarop een snelle en betrouwbare netwerkverbinding naar de gegevensarchieven worden gescand.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Deze serviceaccount heeft de volgende vereisten:This service account has the following requirements:

- Lokaal aanmelden juiste toewijzing van de gebruiker.- Log on locally user right assignment.Dit recht is vereist voor de installatie en configuratie van de scanner, maar niet voor de bewerking.This right is required for the installation and configuration of the scanner, but not for operation.U moet dit recht op het serviceaccount verlenen, maar u kunt dit recht verwijderen nadat u hebt vastgesteld dat de scanner kunt detecteren, classificeren en beveiligen van bestanden.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files.Als dit recht verleent, zelfs voor een korte periode niet mogelijk vanwege de beleidsregels van uw organisatie is, raadpleegt u de de scanner met alternatieve configuraties implementeren sectie.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Meld u aan als een service juiste toewijzing van de gebruiker.- Log on as a service user right assignment.Dit recht wordt automatisch verleend aan de serviceaccount tijdens de installatie van de scanner en dit recht is vereist voor de installatie, configuratie en werking van de scanner.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

U moet de volledige client installeert voor de scanner.You must install the full client for the scanner.Installeer de client niet met de PowerShell-module.Do not install the client with just the PowerShell module.

Tip: Kunt u de instructies van de zelfstudie voor het testen van de scanner met een label dat zoekt naar creditcardnummers in een voorbereide Word-document.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document.U moet echter de labelconfiguratie wijzigen zodat selecteren hoe dit label wordt toegepast is ingesteld op automatische in plaats van aanbevolen.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended.Vervolgens wordt het label verwijderen uit het document (als deze wordt toegepast) en kopieer het bestand naar een gegevensopslagplaats voor de scanner.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner.Voor snelle tests, dit wordt mogelijk een lokale map op de computer van de scanner.For quick testing, this could be a local folder on the scanner computer.

-Maximaal 260 tekens, is tenzij de scanner is geïnstalleerd op Windows 2016 en de computer geconfigureerd voor ondersteuning van lange paden- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths

Als u kan niet voldoen aan alle vereisten in de tabel omdat ze zijn niet toegestaan door de beleidsregels van uw organisatie, raadpleegt u de volgende sectie voor alternatieven.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

De vereisten die worden vermeld in de tabel zijn de standaard-vereisten voor de scanner en aanbevolen omdat ze de eenvoudigste configuratie voor de implementatie van de scanner.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment.Ze moeten geschikt zijn voor de eerste test, zodat u de mogelijkheden van de scanner kunt controleren.They should be suitable for initial testing, so that you can check the capabilities of the scanner.Echter, in een omgeving product beleid van uw organisatie verbiedt mogelijk deze vereisten standaard vanwege een of meer van de volgende beperkingen:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

Als u kunt de rol Sysadmin tijdelijk voor de installatie van de scanner worden verleend, kunt u deze rol kunt verwijderen wanneer de installatie van de scanner voltooid is.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete.Wanneer u deze configuratie gebruikt, wordt de database wordt automatisch voor u gemaakt en het serviceaccount voor de scanner wordt automatisch de vereiste machtigingen verleend.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions.Echter het gebruikersaccount dat Hiermee configureert u de scanner is de rol db_owner voor de database AzInfoProtectionScanner vereist en moet u deze rol aan het gebruikersaccount handmatig toekennen.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Als u niet kan worden verleend de rol Sysadmin zelfs tijdelijk, moet u handmatig een database met de naam AzInfoProtectionScanner voordat u de scanner installeert.If you cannot be granted the Sysadmin role even temporarily, you must manually create a database named AzInfoProtectionScanner before you install the scanner.Wanneer u deze configuratie gebruikt, moet u de volgende rollen toewijzen:When you use this configuration, assign the following roles:

Meestal gebruikt u hetzelfde gebruikersaccount om te installeren en configureren van de scanner.Typically, you will use the same user account to install and configure the scanner.Maar als u verschillende accounts gebruiken, ze zowel de rol db_owner voor de database AzInfoProtectionScanner nodig hebben.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Beperking: Het serviceaccount voor de scanner kan niet worden verleend de lokaal aanmelden rechtsRestriction: The service account for the scanner cannot be granted the Log on locally right

U kunt één account uitvoeren van de scanner-service en een ander account gebruiken om te verifiëren bij Azure Active Directory hebben:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

U kunt een lokale Windows-account of een Active Directory-account gebruiken voor het serviceaccount van de scanner.For the scanner service account, you can use a local Windows account or an Active Directory account.

Installeer de scannerInstall the scanner

Aanmelden bij de Windows Server-computer met de scanner.Sign in to the Windows Server computer that will run the scanner.Gebruik een account dat lokale beheerdersrechten heeft en die is gemachtigd te schrijven met de SQL Server-hoofddatabase.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

Open een Windows PowerShell-sessie met de uitvoeren als beheerder optie.Open a Windows PowerShell session with the Run as an administrator option.

Controleer of de service is nu geïnstalleerd met behulp van Systeembeheer > Services.Verify that the service is now installed by using Administrative Tools > Services.

De geïnstalleerde service heet Azure Information Protection-Scanner en is geconfigureerd om uit te voeren met behulp van het serviceaccount van de scanner die u hebt gemaakt.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Nu u de scanner hebt geïnstalleerd, moet u een Azure AD-token voor het serviceaccount van de scanner om te verifiëren zodat het kan worden uitgevoerd zonder toezicht ophalen.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Zoek naar de status om weer te geven niet-actief in plaats van Scanning.Look for the status to show Idle rather than Scanning.

Wanneer de scanner is verkend door de bestanden in de gegevensarchieven die u hebt opgegeven, wordt de scanner gestopt, hoewel de scanner-service actief blijft.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

Bekijk de rapporten die zijn opgeslagen in %localappdata% \Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports.De samenvatting txt-bestanden bevatten de benodigde tijd voor scannen, het aantal gescande bestanden en het aantal bestanden heeft een overeenkomst voor de gegevenstypen.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types.De CSV-bestanden hebt meer informatie over elk bestand.The .csv files have more details for each file.Deze map slaat tot maximaal 60 rapporten voor elke cyclus scannen en alle, maar het laatste rapport is gecomprimeerd zodat de vereiste schijfruimte te minimaliseren.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

Notitie

U kunt het niveau van logboekregistratie wijzigen met behulp van de rapportniveau parameter met de Set AIPScannerConfiguration, maar u kunt het rapport maplocatie of de naam niet wijzigen.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name.Overweeg het gebruik van een verbinding directory voor de map als u wilt de rapporten worden opgeslagen op een ander volume of partitie.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

De Azure-portal geeft informatie weer over de laatste scan alleen.The Azure portal displays information about the last scan only.Als u nodig hebt om de resultaten van de vorige scans weer, terug naar de rapporten die zijn opgeslagen op de computer scanner in de map %localappdata%\Microsoft\MSIP\Scanner\Reports map.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

In de standaardinstelling de scanner wordt uitgevoerd een tijd- en in de modus alleen-rapportage.In its default setting, the scanner runs one time and in the reporting-only mode.Deze instellingen wilt wijzigen, voer de Set AIPScannerConfiguration cmdlet.To change these settings, run the Set-AIPScannerConfiguration cmdlet.

Voer op de computer met Windows Server in de PowerShell-sessie de volgende opdracht:On the Windows Server computer, in the PowerShell session, run the following command:

Set-AIPScannerConfiguration -Enforce On -Schedule Always

Er zijn andere configuratie-instellingen die u wilt wijzigen.There are other configuration settings that you might want to change.Bijvoorbeeld of bestandskenmerken zijn gewijzigd en wat is vastgelegd in de rapporten.For example, whether file attributes are changed and what is logged in the reports.Bovendien als uw Azure Information Protection-beleid de instelling die een bericht reden het classificatieniveau verlagen of verwijder de beveiliging is vereist bevat, geeft u dat bericht met behulp van deze cmdlet.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet.Gebruik de online-help voor meer informatie over elk configuratie-instelling.Use the online help for more information about each configuration setting.

Noteer de huidige tijd en de scanner opnieuw starten door de volgende opdracht uit:Make a note of the current time and start the scanner again by running the following command:

Controleer het gebeurtenislogboek voor het type informatie 911 opnieuw met een tijd stempel hoger is dan wanneer u de scan in de vorige stap gestart.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

Controleer vervolgens de rapporten om de details van welke bestanden zijn gelabeld, welke classificatie is toegepast op elk bestand en of de beveiliging is toegepast op deze te bekijken.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them.Of gebruik de Azure portal eenvoudiger deze informatie kunnen zien.Or, use the Azure portal to more easily see this information.

Omdat we continu wordt uitgevoerd wanneer u de scanner eraan heeft gewerkt door middel van alle bestanden in de planning hebt geconfigureerd, wordt een nieuwe cyclus gestart zodat alle nieuwe en gewijzigde bestanden worden gedetecteerd.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

Hoe bestanden worden gescandHow files are scanned

De scanner wordt uitgevoerd door de volgende processen als deze bestanden moet scannen.The scanner runs through the following processes when it scans files.

1. Bepalen of de bestanden worden opgenomen of voor het scannen uitgesloten1. Determine whether files are included or excluded for scanning

Standaard worden in de scanner alleen Office-bestandstypen en PDF-bestanden beveiligt wanneer ze zijn beveiligd met behulp van de ISO-norm voor PDF-versleuteling.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption.Andere bestandstypen kunnen worden beveiligd wanneer u het register bewerken zoals beschreven in een volgende sectie.Other file types can be protected when you edit the registry as described in a following section.

Tijdens dit proces als de scanner stopt en scannen van een groot aantal bestanden in een opslagplaats wordt niet voltooid:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

De scanner geldt voor de bestandstypen die niet worden geïnspecteerd, het standaardlabel in de Azure Information Protection-beleid of het standaardlabel die u configureert voor de scanner.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Zoals in de voorgaande stap, kan niet de scanner label van de bestanden in de volgende omstandigheden:As in the preceding step, the scanner cannot label the files under the following circumstances:

De scanner heeft een eigen standaardgedrag: Alleen Office-bestandsindelingen en PDF-documenten worden standaard beveiligd.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default.Als het register is niet gewijzigd, worden alle andere bestandstypen niet met het label of beveiligd door de scanner.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

Wanneer bestanden worden opnieuw gescandWhen files are rescanned

De scanner inspecteert alle bestanden in de geconfigureerde gegevensarchieven en vervolgens alleen nieuwe of gewijzigde bestanden worden gecontroleerd voor latere scans voor de eerste scan-cyclus.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

U kunt afdwingen dat de scanner opnieuw alle bestanden controleren door te voeren Start AIPScan met de -Reset parameter.You can force the scanner to inspect all files again by running Start-AIPScan with the -Reset parameter.De scanner moet worden geconfigureerd voor een handmatige planning, waarvoor de -Schedule parameter moet worden ingesteld op handmatige met Set AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the -Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Opnieuw controleren van alle bestanden is handig als u de rapporten wilt met alle bestanden en de configuratiekeuze van deze doorgaans gebruikt wordt wanneer de scanner in detectiemodus wordt uitgevoerd.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode.Wanneer een volledige scan voltooid is, wordt het scantype automatisch gewijzigd in incrementele zodat voor opeenvolgende scans alleen nieuwe of gewijzigde bestanden worden gescand.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Alle bestanden zijn bovendien gecontroleerd wanneer de scanner een Azure Information Protection-beleid dat nieuwe of gewijzigde voorwaarden heeft gedownload.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions.De scanner Hiermee vernieuwt u het beleid voor elk uur, en wanneer de service wordt gestart en het beleid is ouder dan één uur.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Als u de beveiligingsinstellingen in het beleid hebt gewijzigd, wacht ook 15 minuten ten opzichte van wanneer u de beveiligingsinstellingen opgeslagen voordat u de service opnieuw starten.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Als de scanner gedownload een beleid dat had geen automatische bepalingen die zijn geconfigureerd, wordt de kopie van het beleid-bestand in de map scanner niet bijwerken.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update.In dit scenario, moet u het beleidsbestand verwijderen Policy.msip van zowel %LocalAppData%\Microsoft\MSIP\Policy.msip en %LocalAppData%\Microsoft\MSIP\Scannervoordat de scanner een zojuist gedownloade beleid-bestand met labels correct doorberekend voor automatische voorwaarden kunt gebruiken.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

De inhoud van de bestanden niet worden gecontroleerd en alle bestanden in de gegevensopslagplaats worden met het label op basis van het standaardlabel dat u voor de gegevensopslagplaats opgeeft (met de SetDefaultLabel parameter) of als dit is niet opgeeft, de het standaardlabel dat is opgegeven als een instelling voor het account van de scanner.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

De scanner maakt gebruik van eventuele aangepaste voorwaarden die u hebt opgegeven voor de labels in de Azure Information Protection-beleid en de lijst met typen informatie die beschikbaar zijn om op te geven voor de labels in de Azure Information Protection-beleid.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

De prestaties van de scanner optimaliserenOptimizing the performance of the scanner

Met de volgende richtlijnen kunt u de prestaties van de scanner te optimaliseren.Use the following guidance to help you optimize the performance of the scanner.Echter, als de prioriteit de reactietijd van de computer van de scanner in plaats van de Scannerprestaties is, kunt u een geavanceerde clientinstelling instelt op het beperken van het aantal threads die worden gebruikt door de scanner.However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

Hebt u een snelle en betrouwbare netwerkverbinding tussen de scanner-computer en de gescande gegevensopslagHave a high speed and reliable network connection between the scanner computer and the scanned data store

Bijvoorbeeld, plaatst u de scanner-computer in hetzelfde LAN, of (aanbevolen) in hetzelfde netwerk bevinden als de gescande gegevensopslag.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

De kwaliteit van de netwerkverbinding is van invloed op de Scannerprestaties omdat de scanner overdrachten om te controleren van de bestanden, de inhoud van de bestanden op de computer waarop de scanner-service.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service.Als u beperken (of verwijderen) het aantal netwerkhops die deze gegevens heeft om te reizen, verminderen u ook de belasting in uw netwerk.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

Wijzigen van de voorwaarden in de Azure Information ProtectionYou change the conditions in the Azure Information Protection

Uw eerste scancyclus voor wanneer de scanner elk bestand moet onderzoeken natuurlijk duurt langer dan de volgende scan-cycli die standaard alleen nieuwe en gewijzigde bestanden controleren.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files.Echter, als u de voorwaarden in de Azure Information Protection-beleid wijzigt, alle bestanden worden gescand, zoals beschreven in de voorgaande sectie.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

U kunt kiezen tussen fouten opsporen in, Info, fout en uit voor de scanner-rapporten.You can choose between Debug, Info, Error and Off for the scanner reports.Uit resulteert in de beste prestaties; Debug aanzienlijk vertraagt de scanner en moet alleen worden gebruikt voor het oplossen van.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting.Zie voor meer informatie de rapportniveau parameter voor de Set AIPScannerConfiguration cmdlet.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

Bevestigen dat het serviceaccount dat wordt uitgevoerd de scanner alleen de rechten die zijn beschreven heeft in de scanner vereisten uit en configureer vervolgens de clienteigenschap geavanceerde om uit te schakelen van de laag integriteitsniveau hebben voor de scanner.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client property to disable the low integrity level for the scanner.

De scanner sneller worden uitgevoerd wanneer u de alternatieve configuratie een standaardlabel toepassen op alle bestanden omdat de scanner Controleer geen inhoud van het bestand.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

Lijst met cmdlets voor de scannerList of cmdlets for the scanner

Andere cmdlets voor de scanner kunt u de service-account en de database voor de scanner wijzigen, de huidige instellingen voor de scanner ophalen en verwijdert u de scanner-service.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service.De scanner maakt gebruik van de volgende cmdlets:The scanner uses the following cmdlets:

Gebeurtenislogboek-id's en beschrijvingen voor de scannerEvent log IDs and descriptions for the scanner

Gebruik de volgende secties om de mogelijke gebeurtenis-id's en beschrijvingen voor de scanner te identificeren.Use the following sections to identify the possible event IDs and descriptions for the scanner.Deze gebeurtenissen worden geregistreerd op de server met de scanner-service in de Windows toepassingen en Services gebeurtenislogboek, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.

Informatie 910Information 910

De cyclus scanner is gestart.Scanner cycle started.

Deze gebeurtenis wordt geregistreerd wanneer de scanner-service wordt gestart en begint met het scannen van bestanden in de gegevensopslagplaatsen met die u hebt opgegeven.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.

Informatie 911Information 911

Scanner cyclus is voltooid.Scanner cycle finished.

Deze gebeurtenis wordt geregistreerd wanneer de scanner een handmatige scan is voltooid of de scanner een cyclus voor een continue schema is voltooid.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Als de scanner is geconfigureerd voor het handmatig uitvoeren in plaats van continu, voor het uitvoeren van een nieuwe scan, gebruiken de Start AIPScan cmdlet.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet.U kunt het schema wijzigen met de Set AIPScannerConfiguration cmdlet en de planning parameter.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.